第五章簡單網絡管理協議SNMPv2

　　5.1SNMP的演變（識記）：

　　SNMP基與SGMP，由簡單容易實現的優點。SNMP的缺點也是明顯的：沒有實質性的安全措施，無數據源認證功能，不能防止偷聽。為此SNMP又增加了報文摘要算法MD5保證數據的完整性和進行數據源認證，以及用時間戳對報文排序，采用DES算法提供數據加密功能等實現安全的S-SNMP.在S-SNMP的基礎上開發出了SNMP的第二版，即SNMPv2.SNMPv2丟掉安全功能，把增加的其他功能作為新標準頒布，并采用SNMPv1的報文格式，叫做基于團體名的SNMP.SNMPv2既可以支持完全集中的網絡管理，又可以支持分布式網絡管理。即采用代理方式的管理。

　　總體SNMPv2對SNMP增加了以下3個方面的內容：

　　管理信息結構的擴充

　　管理站和管理展示間的通信能力

　　新的協議操作。

　　SNMPv2對定義對象類型的紅進行了擴充，引入了新的數據類型，增強了對象的表達能力；吸收了RMON中有關表行增加和刪除的約定，提供了更完善的表操作功能；SNMPv2還定義新的MIB組，包含協議操作的通信消息，以及有關管理站和代理系統配置的信息；在協議操作方面引入了兩種PDU，分別用于大數據塊的傳送和管理站之間的通訊。

　　5.2網絡安全問題

　　1、計算機網絡安全的威脅

　　計算機網絡需要以下3個方面的安全

　　保密性：計算機中的信息只能由授權了訪問權限的用戶讀取

　　數據完整性：計算機中的信息資源只能被授權用戶修改

　　可利用性：具有訪問權限的用戶在需要時可以利用計算機系統中的信息資源

　　中斷：通信被中斷，對可用性威脅

　　竊取：未經授權訪問，對保密性威脅

　　篡改：未經授權訪問并篡改了信息，對數據完整性威脅

　　假冒：未經授權加入偽造內容，對數據完整性威脅

　　2、網絡管理的安全威脅

　　3個方面威脅：

　　偽裝的用戶：沒有得到授權的一般用戶企圖訪問網絡管理應用和管理信息

　　假冒管理程序：無關的計算機偽裝成網絡管理站實施管理功能

　　侵入管理站和代理站之間的信息交換過程：網絡入侵者通過觀察網絡活動竊取了敏感的管理信息，更嚴重的危害是可能穿該管理信息或中斷管理站和代理站的通信。

　　系統或網絡的安全設施由一系列安全服務和安全機制的集合組成：

　　安全信息的服務：網絡管理中的安全管理之保護管理站和代理之間信息交換的安全。有關安全的管理對象包括密鑰、認證信息、訪問權限信息以及有關安全服務和安全機制的操作參數信息。安全管理要跟蹤網絡活動和試圖發起的網絡哦活動，以便檢測未遂或成功的安全攻擊，并從這一攻擊中恢復網絡的正常運行。

　　安全維護信息包括：

　　n記錄系統中出現的各類事件

　　n跟蹤安全審計試驗，自動記錄有關安全的重要事件。

　　n報告和接受侵犯安全的警示信號

　　n維護和檢查那全記錄

　　n備份和保護敏感文件

　　n研究每個正常用戶的活動形象，預先設定敏感資源的使用形象，以便檢測異常活動

　　資源的訪問控制：包括認證服務和授權服務

　　n安全編碼

　　n源路由和路由記錄信息

　　n路由表

　　n目錄表

　　n報警門限

　　n記帳信息

　　報文的加密：對管理站和代理之間交換的報文進行加密

　　3、安全機制：

　　一般從保密、認證、非認證和數據完整性4方面

　　數據加密：是防止未經授權的用戶訪問敏感信息的手段。研究數據加密的科學叫密碼學，它分為設計密碼體制的密碼編碼學和破譯密碼的密碼分析學。

　　認證——防止主動攻擊的方法

　　認證分為實體認證和消息認證。實體認證是識別通信對方的身份，防止假冒，可以采用數字簽

　　名的方法。消息認證是驗證消息在傳送或存儲過程中沒有被篡改通常采用消息